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摘 要 : 针对 多 密级 环境 特点 ， 提 出 一 个 能 够 离线 认证 、 可 识别 密级 的 移动 存储 设备 、 主 机 终端 互 认证 与 密 钥 协商 协 
议 。 协 议 基于 TIP (trusted third party) 的 数字 签名 不 可 伪造 特性 和 计算 离散 对 数 问题 (discrete logarithm problem) 的 
难 性 ， 通 过 验证 协商 密 钥 加 密 所 得 密 文 的 正确 性 实现 移动 存储 设备 和 主机 终端 的 互 认证 。 对 协议 进行 非 形式 化 和 形式 
化 分 析 ， 分 析 结 果 表 明 与 同类 协议 相 比 ， 协 议 安 全 性 较 高 ， 存 储 开 销 小 ， 预 共享 认证 参数 次 数 少 ， 实 用 性 强 。 协 议 能 
够 有 效 解决 多 密级 环境 下 移动 存储 设备 密级 识别 、 身 份 认证 问题 ， 对 移动 存储 设备 安全 管理 具有 重要 意义 。 
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Mutual authentication and key negotiation protocol for removable storage devices 
applicable to multi-level environment 


Feng Lil Yu Bin!, Gong Bi?, Zhou Weiweil 
(1. Information Engineering University, Zhengzhou 450004, China; 2. PLA 65012 Troops, Shenyang 110100, China) 


Abstract: Considering the characteristics of multi-level environment, this paper proposes a mutual authentication and key 
negotiation protocol between removable storage devices and host terminals. There is no online authentication center and the 
protocol can be able to identify the confidentiality level. Based on the unforgeability of the digital signature from TTP (Trusted 
Third Party) and the difficulty of calculating the DLP (Discrete Logarithm Problem) , the protocol achieves mutual authentication 
between removable storage devices and host terminals through verifying the correctness of ciphertext encrypted by the 
negotiation key. Informal and formal analyses are put on the protocol. The analysis results show that the protocol has high 
security, small storage cost, low number of pre-shared authentication parameters and strong practicability compared with the 
similar protocols. This protocol can effectively solve the problem of confidentiality level identification and identity 
authentication of removable storage devices in multi-level environment. And it’s of great importance to the security management 
of removable storage devices. 
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两 类 ， 其 中 有 在 线 认证 中 心 的 认证 协议 采用 C/S 模式 ， 通 过 在 
线 的 认证 服务 器 与 客户 端 通信 实现 认证 ,Yang 等 首先 提出 
USB (universal serial bus ) 移动 存储 设备 由 因 其 使 用 种 基于 Schnorr 数字 签名 方案 的 移动 存储 设备 认证 协议 ， 实 现 
通用 性 好 等 优点 广泛 应 用 于 数据 存储 与 信息 交互 场合 。 然 而 了 用 户 和 认证 服务 器 互 认证 。Chen 等 人 四 分 析 了 文献 [7] 方 案 
于 缺乏 必要 的 安全 机 制 , USB 移动 存储 设备 成 为 信息 泄露 的 重 ”的 弱点 ， 提 出 了 改进 方案 。Lee 等 人 外 认为 文献 [8] 的 方案 计算 
要 渠道 4。 特 别 是 在 多 密级 环境 中 , 不同 密级 的 信息 系统 通常 。 效率 低 ， 进 而 提出 一 种 基于 ECC 的 以 用 户口 令 、 指 纹 、 智 能 
采用 物理 隔离 保证 信息 安全 ， 而 移动 存储 设备 能 轻易 地 打破 安 作为 认证 因子 的 三 因子 认证 协议 。He 等 人 009 分 析出 文献 [9] 有 
全 边界 ， 造 成 泄密 中 。 因 此 需要 对 移动 存储 设备 采取 有 效 的 技 容易 遭 到 重 放 攻 击 等 弱点 ， 基 于 此 进行 了 安全 性 改进 。Giri 等 
术 手 段 进 行 管控 ， 对 其 进行 身份 认证 是 实现 管控 的 前 提 和 基础 ” 人 50 提出 一 种 基于 用 户 指纹 和 口令 的 互 认证 方案 , 提高 了 指纹 
器。 认证 的 安全 性 。 文 献 [12] 提 出 一 种 用 于 创建 三 因子 安全 协议 的 
USB 移动 存储 设备 认证 协议 可 按 有 无 在 线 认 证 中 心 分 为 ”系统 架构 ， 提 高 了 认证 的 效率 ,减少 了 通信 和 计算 开销 。Amin 
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等 人 0 提出 一 种 互 认 证 和 密 钥 协 商 协议 ， 该 协议 仅 通 过 注册 服 


冯 力 ， 等 : 适用 于 多 密级 环境 的 移动 存储 


针对 上 述 问题 ， 多 密级 环境 下 对 移动 存储 设备 的 认证 需要 


务 器 提供 存储 在 设备 上 的 机 密 信 息 的 授权 访问 。 上 述 协议 利用 
在 线 的 认证 服务 器 对 用 户 进行 认证 ， 未 考虑 设备 和 主机 终端 的 
合法 性 。 由 于 多 密级 环境 下 不 同 密级 终端 相互 隔离 ， 无 法 建立 
在 线 的 认证 中 心 ， 并 且 攻 击 者 可 能 使 用 伪造 的 设备 或 终端 进行 


满足 以 下 需求 : a) 能 够 标志 移动 存储 设 
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IV 
设备 互 认证 与 密 钥 协商 协议 


备 密级 ， 以 确定 其 存储 


信息 最 高 密级 能 力 和 传递 数据 的 安全 边界 ; b ) 能 够 标志 主机 终 
端 密级 ， 为 确定 主机 访问 移动 存储 设备 权限 提供 依据 ， 即 主机 


对 同 密级 的 设备 可 读 可 写 ， 对 低 密 级 设备 只 读 ; c) 认证 时 无 须 


攻击 ， 需 要 对 其 身份 进行 认证 ;因而 此 类 协议 只 适用 于 网 络 瑟 


认证 服务 器 ， 能 够 离线 认证 ; d) 能 够 对 主机 和 移动 存储 设备 互 


联 的 单一 密级 环境 ， 无 法 满足 多 密级 环境 中 移动 存储 设备 认证 
需求 。 
无 在 线 认 证 中 心 的 协议 通常 基于 预 共 享 密 钥 、 秘 密 参 数 、 
身份 证 书 等 方式 实现 移动 存储 设备 与 主机 终端 的 身份 认证 。 其 
中 文献 [1 和 实现 了 主机 终端 对 移动 存储 设备 的 单 向 认证 ， 但 医 
未 对 主机 终端 认证 ， 无 法 阻止 非法 主机 访问 移动 存储 设备 。 文 
献 [15] 提 出 一 种 基于 ECC 的 USB 认证 密 钥 协商 协议 UAKA， 
实现 了 USB 移动 存储 设备 与 终端 的 互 认证 ,但 该 协议 无 法 抵抗 
中 间 人 人 攻击。 文献 [16] 通 过 共享 认证 因子 实现 USB 设备 与 主机 
的 双向 认证 ， 但 该 协议 并 不 区 分 设备 和 主机 的 硬件 特征 ， 容 易 
遭受 介质 伪造 攻击 。 文 献 [17] 提 出 一 种 基于 安全 芯片 的 可 信 移 
动 存储 设备 的 认证 机 制 实现 互 认证 。 文 献 [18] 利 用 混合 密码 体 
制 设计 能 够 识别 安全 等 级 的 双向 认证 方案 。 然 而 由 于 文献 
[17,18] 预 共享 的 认证 参数 与 主机 终端 身份 有 关 ， 导 致 存储 开销 
与 主机 终端 数量 成 正比 ， 且 移动 存储 设备 需要 分 别 与 所 有 终端 

预 共 享 认 证 参数 , 不 适用 于 终端 数量 较 多 的 情形 。 文献 [19] 
设计 了 一 种 用 无 线 认 证 终端 授权 认证 U 盘 的 方法 ， 由 于 需要 引 
入 新 设备 ， 提 高 了 生产 成 本 和 管理 成 本 。 

本 文 则 在 针对 多 密级 环境 的 特点 ， 设 计 一 个 无 在 线 认 证 中 
心 ， 可 以 识别 密级 的 移动 存储 设备 、 主 机 终端 互 认 证 与 密 钥 协 
商 协 议 ,从 而 有 效 地 解决 多 密级 环境 中 移动 存储 设备 密级 识别 、 
身份 认证 问题 。 
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1 ”预备 知识 


1.1 应 用 场景 

多 密级 环境 中 ， 相 同 密级 信息 系统 内 信息 可 以 自由 传递 ， 
不 同 密级 信息 系统 间 物 理 隔 离 ， 信 息 只 能 从 低 密 级 向 高 密级 传 
递 。 当 使 用 移动 存储 设备 在 不 同 密级 信息 系统 间 交 换 数据 时 ， 
于 其 通用 性 和 匿名 性 ， 移 动 存储 设备 能 够 破坏 多 密级 环境 中 
言 息 系统 边界 ， 极 易 导 致 信息 无 序 地 在 信息 系统 间 传 递 ， 造 成 
泄密 ， 如 图 1 所 示 。 


QI 


图 1 移动 存储 设备 破坏 安全 边界 示意 图 


认证 ， 确 保 双向 安全 可 靠 。 
1.2 总 体 结构 


为 方便 描述 ， 对 协议 使 用 到 的 符号 及 其 含义 进行 说 明 ， 如 


表 1 所 示 。 
表 1 协议 符号 说 明 表 
D : 移动 存储 设备 〈 简 称 设备 ) 五 : 主机 终端 (简称 终端 ) 
UIDj :设备 的 唯一 硬件 特征 ZLDr : 终端 的 唯一 硬件 特征 
Lp : 设备 分 配 的 密级 万 : 终端 分 配 的 密级 
Cert(D) : 设备 的 证 书 Cert(CB) : 终端 的 证 书 
了 :设备 申请 证 书 选取 的 秘密 参数 。 工 :终端 申请 证 书 选取 的 秘密 参数 
y : 设备 认证 时 的 新 鲜 因 子 x : 终端 认证 时 的 新 鲜 因子 
sk : 设备 和 终端 协商 的 会 话 密 铀 工 可 信 第 三 方 (TTP) 
K, :可 信 第 三 方 的 公 钥 K 可 信 第 三 方 的 私 铀 
{jk。， 用 公 钥 K, 对 证 书 进行 验证 
{m} 1 : 用 私 钥 K: 对 消息 签名 ie 
{m}w : 用 密 钥 sk 对 消息 m 加 密 |: 连接 符 


a ， Z; 的 生成 元 


h(。) : 哈 希 函数 


7 了 : 选取 的 大 素数 ，p >25? ， 在 Z, 上 计算 离散 对 数 问题 是 困难 的 


由 


协议 的 总 体 结构 如 图 2 所 示 。 由 管理 部 门 根据 实际 需求 将 
终端 和 设备 划分 为 不 同 密级 ,密级 用 非 负 整数 表示 , 密级 越 高 ， 
数字 越 大 ， 密 级 相同 ， 数 字 相 等 。TTP (Trusted Third Party) 是 


权威 、 可 信赖 的 第 三 方 ， 是 认证 协议 信 


王 的 源头 ， 主 要 作用 是 


为 移动 存储 设备 和 主机 终端 发 放 密级 标识 。 密 级 标识 确定 了 移 


动 存储 设备 《或 主机 终端 ) 在 多 密级 环 
即 移动 存储 设备 《或 主机 终端 ) 所 能 存 


卉 中 存储 信息 的 边界 ， 
渚 信息 的 最 高 密级 。 对 


TTP 的 通信 环境 进行 保护 ， 因 而 信道 可 视 为 安全 信道 。 攻 击 者 


的 攻击 手段 有 : 窃听、 阻止 、 截 获 、 存 


发 送 消 息 给 移动 存储 设备 或 主机 终端 。 移 动 存储 设备 和 终端 通 


储 USB 总 线 上 的 消息 ， 


过 在 USB 总 线 上 运行 认证 协议 , 防止 攻击 者 利用 上 述 攻击 手段 


使 认证 主体 获得 错误 的 密级 。 


离线 安全 信道 USB 总 线 


图 2 协议 总 体 结 构 示 意图 
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1.3 ”离散 对 数 问题 

离散 对 数 问 题 可 以 描述 为 :给 定 一 个 素数 P 和 GF(p) 上 的 
一 个 本 原 元 & ,对 yeGF(p)\{0} , 找 唯一 的 整数 x*，0<x<p-2， 
使 得 y=a* modp 成 立 。 一 般 的 ， 如 果 仔 细 选 择 > ， 那 么 认为 该 
问题 是 困难 的 ， 即 在 计算 上 是 不 可 行 的 。 


2 ”协议 设计 


根据 多 密级 环境 下 认证 需求 ， 对 协议 进行 设计 ， 协 议 分 为 
初始 化 和 互 认证 两 个 阶段 。 
2.1 协议 初始 化 


Ghinaxiy 合 作 期 乔 


冯 力 ， 等 : 适用 于 多 密级 环境 的 移动 存储 设备 互 认证 与 密 钥 协商 协议 
2.2 互 认证 

互 认 证 流程 如 图 4 所 示 。 

a) 终 端 发 起 认证 请 求 REQ ， 选 择 一 个 随机 整数 < 
(0<xz<p-2) 并 计算 y=a*(modp) ， 将 证 书 Cerr(E) 、 新 鲜 的 临时 
值 yy 和 唯一 硬件 特征 VD 发 送 至 设备 。 

b) 设备 计算 {UDrlmlwDjxjx 是 否 等 于 
ACIDr zyYzr) 以 验证 证 书 Cerrx(ZE) 是 否 是 TTP 签 发 的 合法 证 书 ， 
如 果 不 是 ， 协 议 终止 ， 否 则 ， 协 议 转 下 一 步 。 

0 设备 选择 一 个 随机 整数 3(0<ysp-2 并 计算 


yp=Q* (mod p) ， 计 算 会 话 密 钥 k=Vi 并 用 会 话 密 钥 


pe 


yy” modp, 


协议 初始 化 是 指 设备 和 终端 申请 证 书 ， 为 实现 互 认证 预 共 
享 认证 参数 的 过 程 ， 初 始 化 示意 图 如 图 3 所 示 。 
终端 选择 一 个 随机 数 (0<x<p-2), 并 计算 V=a™(modp)， 
发 送 VIDy 、Va 至 TTP。TTP 为 其 分 配 密级 ， 用 自己 私 钥 K7 
签名 ， 生 成 证 书 Cer( 并 发 送 至 终端 ， 其 中 : 
Cert(H)= Lr Vall{ AVIDs Na MV) 
同样 地 ， 设 备 选择 一 个 随机 数 》( 0<y<p-2)， 并 计算 
Vp=Q7 (mod p) ， 发 送 VID, 、V 至 TTP。TTP 为 其 分 配 密级 ， 
用 自己 私 钥 Km' 签名， 生成 证 书 Ceri(D) 并 发 送 至 设备 ， 其 中 : 
Cert(D)= LollVoll{ A(UIDD, Ly, Vp} 


Host Terminate Trusted Third Party Removable Storage Device 


choose a random 7, choose a random Y, 
,VV, UIDy, V, 
UIDs 你 < 2 V,=a7 (mod p) 
assign security level, 了 


Cert(H) creat signatures ， 


generate certifications 


V,=a" (mod p) 


Cert(D) 


store Cert(H) store Cert(D) 


图 3 协议 初始 化 示意 图 


Host Terminate 


Ny=0" (mod p) 


REQ: 


加 密 VIDplliollyally。， 将 证 书 Cerx(D) 、 新 鲜 的 临时 值 ro。 、 唯 一 硬 
件 特 征 WP 和 密 文 {VIDplliollyalro}x 发 送 至 终端 。 

d) 终 端 计算 {UVDPp mojk 是 否 等 于 
h(UIDp，Lp，Vp) 以 验证 证 书 Cer(D) 是 否 是 TTP 签发 的 合法 证 书 ， 
如 果 不 是 ， 协 议 终止 ， 否 则 ， 协 议 转 入 下 一 步 。 

6) 终端 计算 会 话 密 钥 sk =W" .yp”modp， 并 用 会 话 密 钥 sk 加 
密 DIDullmsllyclxw 得 到 {VIDyllawlixellxw}x ， 如 果 与 接收 到 的 密 文 
不 一 致 ， 协 议 终止 否则， 协议 转 入 下 一 步 。 

终端 用 会 话 密 钥 sk 加 密 VIDslillyo ， 
{UIDsllzyllyo}x ， 并 发 送 至 设备 。 


得 到 密 文 


设备 用 会 话 密 钥 加 密 UIDal|La yp 得 到 {UIDal|Lallyp}s ， 如 
果 与 接收 到 的 密 文 不 一 致 ， 认 证 失败 、 协 议 终止 ， 否 则 ， 互 认 


证 通过 。 

需要 说 明 的 是 ， 协 议 中 可 以 采用 任何 一 种 计算 上 安全 的 签 
名 和 验证 签名 算法 ， 签 名 和 验证 签名 前 须 用 散 列 函 数 对 签名 或 
验证 签名 内 容 进行 散 列 。 


Removable Storage Device 


Cert(H)|Yys || UID, 


ACK1: 
Cert DYypl| VID, | {VID Lo ly aly} 


verify Cert(D) 

if illegal, terminate 

else calculate and compare 
{UID Ll yal ly }, 
where sk =V," .yp modp 


ACK2: 


> verify Cert(H), 

if illegal, terminate 
else sk =Vy :Yr modp 
TD 一 ol (mod p) 


calculate and compare 


if not equal, terminate 


{UIDa |Lallyp}, 


{VID ||Lallyp}, 


if not equal, terminate 


图 4 互 认 证 流程 示意 图 密 钥 协商 


互 认 证 通过 后 ， 终 端 获 得 协商 密 钥 
sk=Vp*:yp "modp=0 .amodp ， 设 备 端 获得 协商 密 钥 
s =V yy mod p=a™.* modp， 两 者 相等 。 因而 双方 可 以 使 用 


协商 密 钥 进行 加 密 传输 ， 保 证 USB 总 线 上 信息 传输 的 安全 。 
3 ”协议 性 能 效能 分 析 


3.1 协议 性 能 分 析 
协议 基于 TTP 的 数字 签名 不 可 伪造 特性 和 计算 离散 对 数 


问题 的 困难 性 ,在 认证 过 程 中 ,随机 产生 的 新 鲜 因子 密 文 传送 ， 


有 具有 较 好 的 安全 特性 ， 分 析 如 下 : 
1) 抗 介质 伪造 攻击 (media forgery attack ) 
介质 伪造 攻击 是 指 攻击 者 使 用 未 认证 的 存储 介质 代替 已 认 


证 的 存储 介质 ， 通 过 更 换 存 储 介 质 的 手段 达到 窃取 秘密 信息 的 
的 。 在 协议 初始 化 阶段 ， 移 动 存储 设备 将 唯一 硬件 信息 《〈 例 
如 存储 介质 的 全 球 唯 一 序列 号 GUID ) 发 送 给 TTP，TTP 对 包 
含 上 述 信 息 的 内 容 进行 签名 。 认 证 时 ， 移 动 存储 设备 须 将 唯一 
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硬件 信息 VID, 发 送 至 主机 ， 如 果 攻 击 者 更 换 介 质 ， 会 导致 当前 128 bit， 随 机 数 为 140bit，M 为 多 密级 环境 中 主机 终端 数量 ,N 
介质 UID 与 设备 申请 证 书 时 的 VIDb 不 一 致 ， 从 而 主机 在 验证 ”为 移动 存储 设备 数量 。7T, /Ti 表示 一 次 对 称 加 解密 运算 所 需 时 


设备 证 书 时 不 通过 ， 因 此 协议 可 以 抵抗 介质 伪造 攻击 。 闻 ，7oce/7zue 表示 一 次 公 钥 加 解密 运算 所 需 时 间 ，T5w /Te 表示 
2) 抗 盗 穷 证 书 攻 击 (stolen-verifier attack) 一 次 签名 或 验证 签名 操作 所 需 时 间 ， Tuv 表示 一 次 散 列 运算 所 
法 设备 通 需 时 间 ， 了 Ze 表示 一 次 模 宕 运算 所 需 时 间 ， mw 表示 一 次 异 或 运 


攻击 者 即使 盗 取 了 合法 设备 的 证 书 也 无 法 仿冒 合法 设 

过 认证 。 这 是 因为 每 个 证 书 与 设备 申请 证 书 时 的 秘密 参数 了 7 是 。 算 所 需 时 间 。 
一 一 对 应 的 ， 攻 击 者 仅仅 盗窃 合法 设备 的 证 书 ， 只 外 文献 [17, 18] 都 采用 了 无 在 线 认 证 中 心 的 结构 , 应 用 领域 与 
证 中 第 @ 步 ， 即 验证 证 书 合法 性 的 一 步 ， 然 而 由 于 攻击 者 无 法 本 文 相同 ， 与 之 进行 对 比分 析 。 如 表 3 所 示 ， 本 文 协 议 存 储 开 
得 知 设备 的 秘密 参数 》 了 ， 也 就 无 法 计算 出 正确 的 会 话 密 钥 sk ， ” 销 为 1764bit, 优 于 文献 [17,18], 原因 在 于 文献 [17，18] 没 有 设 
从 而 无 法 通过 认证 .类 似 地 ,攻击 者 即使 盗 取 合法 终端 的 证 书 ， 江 可 信 第 三 方 ， 导 致 存储 开销 与 终端 数量 成 正比 ， 当 终端 数量 
于 无 法 得 知 秘密 参数 *， 也 就 无 法 计算 正确 的 sk ， 也 就 无 法 。 很 大 时 ， 存 储 开销 将 变 得 难以 接受 。 为 保证 环境 中 所 有 移动 存 


详 
es 
于 


通过 认证 。 综 上 ， 协 议 可 以 抵抗 盗 镭 证 书 攻 击 。 渚 设备 和 主机 终端 能 够 互 认 证 , 文献 [17, 18] 中 移动 存储 设备 需 
3) 抗 重 放 攻 击 (replay attack) 与 主机 终端 一 一 预 共 享 认证 参数 ， 共 计 M*N 次 ， 而 本 文 协议 
协议 采用 挑战 应 答 机 制 ， 在 通信 过 程 中 ， 主 机 终端 生成 随 ” 只 需 M+N 次 , 大 大 减少 了 预 共 享 认 证 参数 次 数 , 实用 性 更 强 。 

机 数 x ， 移 动 存储 设备 生成 随机 数 > 作为 新 鲜 因 子 ， 并 将 新 鲜 表 3 协议 存储 开销 和 预 共 享 参数 次 数 对 比 

因子 加 密 为 ys 和 yo 再 传送 。 假 设 攻 击 者 通过 侦 听 信道 可 以 获 文献 [17] ”文献 [18] ”本 文 

得 信道 上 所 有 消息 : REQ、ACK1、ACK2 并 进行 重 放 攻击 ， 存储 开销 (bit) 1056*M 1224*M 1764 

于 仅 知 道 yj 或 Yo ,计算 得 到 x 或 是 困难 的 , 从 而 无 法 计算 正 预 共享 认证 参数 次 数 。 M*N A 

确 的 会 话 密 钥 sk ， 导 致 无 法 通过 认证 。 同 时 由 于 每 一 回合 生成 

的 随机 数 都 是 新 鲜 的 ， 因 而 攻击 者 也 无 法 通过 重 放 以 往 回 合 中 如 表 4 所 示 , 本 文 协议 计算 开销 为 2 Ti +4 Te +2 To +4 Tc， 

侦 听 到 的 陈旧 的 消息 实施 重 放 攻 击 。 明显 低 于 文献 [17], 与 文献 [18] 持 平 , 高 于 文献 [11, 12]。 文 献 [11， 
4) 抗 中 间 人 攻击 (man-in-the-middle attack) 12] 虽 然 计 算 开 销 较 小 , 但 因 采 用 认证 服务 器 实现 认证 , 不 适用 
通信 双方 通过 协商 会 话 密 钥 sk , 并 利用 sk 加 密 新 鲜 的 临时 。” 于 多 密级 环境 。 


值 Y。、wu 得 到 握手 消息 ACK1、ACK2， 通 过 独立 地 验证 握手 


4 ”协议 形式 化 分 析 


消息 的 正确 性 来 确认 对 方 身份 。 中 间 人 仿冒 终端 或 设备 发 起 攻 
击 时 ， 由 于 没有 秘密 参数 + 或 了”， 无 法 计算 得 到 正确 的 会 话 密 SVO 逻辑 是 目前 分 析 认 证 协议 最 有 力 的 形式 化 推理 方法 
钥 , 也 就 无 法 加 密 临 时 值 xy, 、ys 获得 正确 的 密 文 , 无 法 通过 认 过 一 ， 应 用 SVO 逻辑 对 提出 的 互 认 证 协议 进行 形式 化 分 析 。 
证 ， 因 此 攻击 者 无 法 作为 中 间 人 冒充 合法 设备 或 终端 。 4.1 公理 及 规则 
5) 前 向 安全 性 〈forward secrecy ) SVO 逻辑 遵从 两 条 推理 规则 和 20 条 公理 ， 将 需要 使 用 的 
协议 通过 协商 会 话 密 钥 w=Vi yw ”modp=Vp*…yp*modp 保 ”列举 如 下 : 
护 认 证 和 通信 和 安全， 每 一 次 认证 ， 生 成 的 临时 值 x*、3 都 是 新 MP 规则 :由 和 ?ww 可 以 推出 。 
鲜 的 ， 并 且 每 一 次 会 话 密 钥 只 在 一 次 认证 中 使 用 ， 因 而 每 一 次 Nec 规则 : 由 Fe 可 以 推导 出 FPlsyp。 
认证 的 会 话 密 钥 都 是 不 同 的 。 即 使 攻击 者 获得 了 主机 或 设备 的 Ai:Pl=p9^Pl=(9>3%) oPl=ay 
秘密 参数 ， 也 无 法 计算 出 之 前 所 生成 的 会 话 密 钥 ， 保 证 了 前 向 As : P< 人 >O^Ra{X2jr SOI~XAQ3K) 
安全 性 。 Ai : PK,(QO,K)ARAXASV(X,K,7) oO|~Y 
6) 离线 认证 As : PK;(P, Kp) APK;(Q,K,)) I Pe >O 
认证 时 ,只 有 设备 和 终端 参与 认证 ,无 须 在 线 的 认证 中 心 ， A7: PAX ,eX,) EP AX 
适用 于 多 密级 环境 下 不 同 密级 信息 系统 间 物 理 隔离 的 情形 。 应 用 公理 Al 和 MP 规划， 可 以 得 到 以 下 常用 结论 : 
7) 可 识别 密级 A1+MP:(Pl=spAPl=(p9>W) Hl=Y) 
为 适应 多 密级 环境 ， 在 协议 初始 化 时 ， 为 设备 和 终端 分 配 ”4.2 初始 假设 集合 
了 密级 标识 。 如 果 通 过 互 认证 ， 终 端 和 设备 都 能 获取 对 方 可 信 协议 中 的 消息 WP 、Ls 是 移动 存储 设备 的 待 认证 信息 , 用 
的 密级 标志 ， 从 而 识别 密级 ， 为 访问 控制 葛 定 基础 。 D 表示 ， 同 样 的 ， 消 息 VPs、 用 日 表示 。 主 机 终端 H 的 初 
协议 主要 安全 特性 与 相关 文献 对 比如 表 2 所 示 。 始 假 设 集合 为 : 
3.2 协议 效能 分 析 RB:HI=PK,(T,K,) 
设 定 VIDp、UIDy 为 80bit，Lp、Ly 为 8bit, 公 钥 为 512 bit， B:HI=SVUD, Vp} Ki,(D, Vp) 


私 钥 为 140 bit， 公 钥 加 密 、 签 名 结果 为 1024 bit， 哈 希 结果 为 B:H|=EV((D,y,*d), sk,{D, rn,*d}y) 
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PB:HI=(T|~ PKs(D, Vp) AH 4a(D,Vo),{D, Vo *d,{D, yn, 
*qd}) 人 EV((D, yp,*d), sk,{D, yy,*d}s)) > PKs(D, (Vo,*d))) 
B:HI=PKs(H,(Va, Yn) 
B: Ha(D,Vo,{D, Vp} yp,{D, Yn, rp}u) 
BpB:HI=H4(D,Vp,{D, Vp} *d,{D, yn,*d}y) 
R:HI=(7|~(D,Vp)>7T|~PKs(D, Vp) 
PB~B 反映 了 主机 终端 H 的 初始 信念 ， 其 中 BB 表明 H 相信 
K, 是 可 信 第 三 方 了 的 公开 签名 验证 密 钥 ; 马 表 明 H 相信 和 密 钥 
K, 可 以 验证 {D,Vp}xt 是 (D,Vp) 的 签名 ; B 引入 符号 EV(X,K,Y) 
表示 用 密 钥 x 加 和 密 X 得 到 7Y ， 即 {X}x =Y， 用 于 验证 密 钥 的 正 
确 性 ， 表明 H 相信 sk 加 密 (D,yn,*4) 得 到 {D,yn,*d}x; 只 表明 再 
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相信 如 果 T 发 送 过 PKs(D,W) 且 H 接收 到 消息 : 
(CD, Vo) {D, Vole,*d,(D, Ya, Yd)) EV(D, ra,*d), sk, (D, yn,*d)s)) 


则 Vo、*a 是 设备 D 的 公开 协商 参数 。B 表明 H 相信 Va、ya 是 了 HH 
的 公开 协商 参数 。B 是 接收 消息 ， 表 明 H 接收 到 消息 
DY 和 人 和 和 oj) 。B 是 理解 消息 ， 表 明 yo 是 HH 收 
到 的 不 可 识别 的 消息 。R 是 解释 消息 , 表明 HH 相信 如 果 了 发 送 
过 PD、 Vp, 则 Vo 是 DD 的 公开 协商 参数 。 对 于 移动 存储 设备 的 初 
始 假设 集合 ， 除 以 下 2 条 外 ， 其 余 可 以 对 称 得 到 : 


B':DAH, Va {HVa}e, Ya), DAUH, yp}y) 


B':D|=Da(H, Vi {HV 


表 2 协议 安全 特性 对 比 


文献 [7] ”文献 [9] 文献 [10] 文献 [11] 文献 [15] 文献 [16] 文献 [17] 文献 [18] 本文 


抗 介质 伪造 攻击 x x x x x x 到 x ， 
抗 重 放 攻击 x x V V V V V V/ V 
抗 中 间 人 攻击 V V V V x V V x V 
离线 认证 x x x x ， V/ V/ V/ V/ 
可 识别 密级 x x x x x x x ~ ~ 
表 4 协议 计算 开销 对 比 
认证 
协议 初始 化 总 计 
移动 存储 设备 主机 终端 
文献 [11] 5 Taw +1 Taee 1 Tiasn +1 Te 4 Dn FLT 10 Dw +27 +1 Toe 
文献 [12] 5 Taw +1 Tse 2 Tas 4 Tasn +1 Te 11 Tas +2 Te 


6 Tiasn +3 Tue +3T 


Ver 


文献 [17] 2T% 2 Te +2 Tae +1 Tpaee tl Tor +3 Taos 2 Tpaee +2 Ter + Tsig +1 Toene +3 Thasn 


文献 [18] 1 To tl Tyene 1 Tpenc tl Toaee tl To, tl Taee +l Thasn 1 Tyene 


3 me T9372. 


me 


+1 Tpaee tl Tae tl Thosn 2 Tiasn +3 Tpenc +2 Todec +2 Tor t+] Tone +l Tee 


本 文 1 Tne 1 Tnasn +1 Dor +2 Tne +2 Tonc 1 Tiasn 十 1 Pier +2 Tne +2 Tone 2 Tasn +4 Tne +2 Tor +4 Tonc 


4.3 安全 性 证 明 
假设 1 第 三 方 了 是 可 信 的 ， 其 数字 签名 方案 是 安全 的 ， 
假设 2 求解 离散 对 数 问题 是 困难 的 ， 计 算 上 不 可 行 。 
结论 1 ”如 果 证 书 是 由 第 三 方 了 签名， 并且 移动 存储 设备 
拥有 秘密 参数 > 和》 了》， 那 么 可 以 唯一 确认 移动 存储 设备 的 合法 
身份 。 
协议 通过 验证 移动 存储 设备 证 书 的 数字 签名 和 协商 密 钥 加 
密 临 时 值 所 得 密 文 的 正确 性 确认 移动 存储 设备 身份 合法 性 。 如 
果 通 过 验证 签名 算法 计算 得 到 移动 存储 设备 的 证 书 是 第 三 方 T 
签名 ， 根 据 假 设 1， 由 于 攻击 者 无 法 伪造 其 签名 ， 则 可 认定 该 


证 书 是 值得 信任 的 。 攻 击 者 即使 截获 总 线 上 可 信 的 证 书 ， 为 验 
证 通过 协商 密 钥 加 密 临 时 值 所 得 密 文 的 正确 性 ， 攻 击 者 必须 获 


得 协商 密 钥 ; 由 于 协商 密 钥 k=Ve :xc modp ， 攻 击 者 必须 获得 
秘密 参数 》 和 3 ;然而 由 于 假设 2, 根据 总 线 上 的 消息 x 或 w>， 
计算 > 和 了 是 困难 的 ， 攻 击 者 无 法 仿冒 ， 因 此 可 以 唯一 确认 移 
动 存储 设备 的 合法 身份 。 


类 似 地 ， 可 以 证 明 结论 2。 

结论 2 ”如 果 证 书 由 可 信 第 三 方 签名 ， 并 且 主 机 终端 拥有 
秘密 参数 x 和 x， 那 么 可 以 唯一 确认 主机 终端 的 合法 身份 。 

根据 结论 1、2， 协 议 目 标 可 用 SVO 逻辑 表达 为 


HI=sT|-(D,V») Hl|=D3(y,y) 


DI=sT|-~(H,Vy) DI|=H 3(x,7%) 
式 化 证 明 如 下 : 


A; 和 Nec 规则 可 得 : 
HI|=(H 4(D,Vo,{D, Vp} *d,{D, ra,*d}y) > HI=H 4({D,Vo}i) (1) 


B 和 式 (1)， 应 用 结论 A1+MP 可 得 : 
H|=(H <4(D,Vo}ie)) (2) 


PB、 式 (2)、 马 可 得 : 


Hl|=PK,(T,K))AH 4({D,Vp he ) ASVUD, Vp} Ki,(D,VD)) (3) 


将 公理 As 实例 化 ， 并 应 用 Nec 规则 可 得 : 
HI=(PKs(T,K)AH a({D,Vo}i) ASV(D, Vp} Ki,(D,Vp)) 


ST|~(D,Vp)) (4) 


式 (3) (4)， 应 用 Al+MP 可 得 : 


录用 稿 
Hl=T|~(D,V,) (5) 
式 (5) 和 RR， 应 用 Al+MP 可 得 : 
Hl|=T|~PK;(H,Vy) (6) 
式 (6)、 吃 、 喉 可 得 : 
H|=T|~ PK;s(D,V,) AH 4(D,V,,{D,V, bs*d, {D, yn,*d}s 
AEV((D, yn,*d),sk,{D, yn,*d}y) (7) 
式 (7)、Rh， 应 用 Al+MP 可 得 : 
Hl|=PK;(D,(V,,*d)) (8) 
RB 和 式 (8) 可 得 : 
Hl=(PKs(H, (Vay,Yu) 和 PKs(D, (Vo,*d))) (9) 
将 公理 As 实例 化 ， 应 用 Nec 规则 可 得 : 
H|=(PKs(H, (Vy,yy) APKs(D,(Vo*d) oS He >D) (10) 
其 中 sk 如 式 《11): 
sk= RV ya Vo sd) = (Vp) (po) = Va) (yy) =a™™ (11) 
式 (9) (10)， 应 用 Al+ MP 可 得 : 
H|=sHe* >D (12) 
式 (12)、B ,将 公理 Aj 实例 化 , 应 用 Nec 规则 和 Al+MP 
可 得 
HI=s(He EE SDAH 4{D,yp,*d}y) (13) 
式 (13),， 将 公理 As 实例 化 ， 应 用 Nec 规则 和 Al+MP 可 
得 : 
Hl=(D|-(D,yn,*d) 和 D3 sk) (14) 
式 (14) 可 得 : 
H|=D3sk (15) 
式 (15)、sk 定 义 式 (11) 以 及 *、》 、x、3 的 定义 可 
得 : 
H|=D3(5,y) (16) 
式 (5) (16) 构成 了 主机 终端 的 信念 集合 。 


同样 地 ， 对 移动 存储 设备 D 也 可 以 做 类 1 


D|=T|~ (BE,V) 


D|=H 3 (x,x) 


以 的 分 析 ， 得 到 以 


这 一 结果 表明 ， 协 议 能 够 达到 预期 目标 : 
终端 和 移动 存储 设备 互 认 证 。 


5 ”结束 语 


在 分 析 多 密级 环境 特点 基础 上 ,提出 了 一 
可 识别 设备 和 终端 
性 基于 可 信 第 三 方 数字 签名 不 可 


安全 地 实现 主 


个 能 够 离线 认证 ， 


密级 的 互 认证 与 密 钥 协商 协议 。 协 议 的 安全 
伪造 特性 和 计算 离散 对 数 问题 


的 困难 性 ， 
享 认证 参数 次 数 少 ， 实 用 性 强 ， 
移动 存储 设备 的 密级 识别 、 安 全 认证 
安全 基础 。 
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